Fråga: Hej, när ska en personuppgiftsincident bli anmäld till integritetsskyddsmyndigheten? Jag undrar även om alla personuppgiftsincidenter ska bli anmälda till myndigheten eller bara i vissa fall? Det har hänt att jag har skickat ett mejl till fel mottagare men där innehållet inte varit särskilt viktigt eller känsligt.
När ska en personuppgiftsincident bli anmäld?
Svar: En personuppgiftsincident ska i vissa fall bli anmäld till IMY (Integritetsskyddsmyndigheten) inom 72 timmar från och med att det blev upptäckt. Dessutom ska det i vissa fall även bli anmält till Polisen, exempelvis när det gäller brott, såsom dataintrång. Däremot ska inte alla personuppgiftsincidenter bli anmälda.
På IMY:s hemsida finns en länk för att göra anmälan. Genom länken, behöver man besvara några frågor. Genom att svara på frågorna om incidenten, kommer man att få svar på om det är en incident som behöver bli anmäld eller inte.
GDPR ställer högre krav på företag än personuppgiftslagen, som GDPR ersatte den 25 maj 2018 när det började gälla i EU/EES-länderna.
Både år 2018 och 2019 var felskickade mejl den vanligaste personuppgiftsincidenten i Sverige. I vissa fall ska det bli anmält och i andra fall inte, eftersom det beror på vad mejlet innehåller. Dessutom kan man behöva kontakta den eller de parterna, vars personuppgifter har blivit röjda.
